Combien est-ce sécuritaire d'utiliser rsync en mode démon sans ssh
Que nous savons que nous pouvons utiliser rsync via ssh pour envoyer des fichiers entre les ordinateurs en particulier dans le réseau différent (e.g Internet) pour avoir quelques transferts sécuritaires. (c'est vrai et nous sommes tous d'accord avec elle)
et comme nous le savons aussi rsync n'offre aucune sécurité pendant le transfert de données à l'aide de façon normale, par conséquent, nous utilisons ssh en tant que couverture.
Donc l'idée!.
Si l'on utilise rsync en mode démon (sur la sauvegarde linux serveur situé en Angleterre par exemple) et nous avons commencer à sauvegarder les données à partir d'ordinateurs sous linux (depuis la France par exemple) à l'aide de la ligne internet, sans l'aide de ssh (il suffit d'utiliser la normale démon rsync option)
exemple:
rsync -vazi --progress source rsync://[email protected]/somefolder/
La question est donc
vous pensez que c'est une manière sécurisée?
si non , est-il on peut savoir ce que nous sommes de transfert et de ce que le contenu des fichiers, nous avons transféré?.
aussi est-il chance de capturer le mot de passe qui nous sont entrés lorsque rsync invite pour le rsync utilisateur mot de passe?
Je sais que l'utilisation de ssh ou stunnel est plus sécurisé. mais vraiment, je veux en savoir plus sur pourquoi est-il sécurisé lors de l'utilisation de la voie normale surtout quand nous sommes rsync de données entre ordinateurs sur Internet.
et Merci pour toute les réponses.
OriginalL'auteur Mohammed Shannaq | 2012-01-11
Vous devez vous connecter pour publier un commentaire.
Lorsque vous utilisez SSH, vous obtenez non seulement la confidentialité, mais vous gagnez également de l'authentification.
La confidentialité permet de s'assurer que personne ne peut voir vos données, comme on l'envoyer sur internet. L'authentification permet de s'assurer que vous êtes bien connecté sur le bon serveur (man in the middle attaque de l'ex république yougoslave de). Si vos données n'est pas important, vous pouvez dire quelque chose comme "Hé, personne ne va voler mes données, il n'est pas important".
La question de la sécurité qui m'inquiète vraiment c'est l'absence d'authentification lorsque vous venez de le faire rsync sans authentification. Cela signifie que n'importe qui peut se connecter et d'envoyer des données vers ou à partir de votre machine. Imaginez quelqu'un est assis n'importe où entre les serveurs et qu'ils voient une connexion non authentifiée de l'écriture de données via rsync. Maintenant, ils savent comment se connecter à votre serveur et de vidage et de récupérer des informations. Vous venez de créer un anonyme gratuit fichier de vidage pour tout le monde. Cela peut sembler pas un gros problème jusqu'à ce que les gens commencer à l'utiliser pour des fins illégales, ou juste un dump d'un virus/rootkit sur votre machine.
À mon avis il n'y a pas de risque de niveau 1 à 10, qui permet de quantifier ce risque, il est tout simplement inacceptable. Il prend seulement un scan de ports de voir que le port est ouvert, puis un script peut trouver la vulnérabilité.
--password-file
option de ligne de commande et les "secrets" fichier de configuration du démon paramètre. Cela vous permet de donner à des personnes spécifiques et des processus la possibilité de télécharger à des domaines spécifiques, le système de fichiers sans exiger un compte d'utilisateur. Bien que le mot de passe n'est jamais transmis à travers le réseau en texte clair, vos données est toujours.OriginalL'auteur Daisetsu
Rsync transactions sans SSH sont en danger parce que le protocole et le logiciel lui-même ne comprend pas tout de chiffrement du contenu. Donc si il y a un homme dans le milieu, il peut lire/copier ce que vous sauvegardez. L'authentification peut être lu aussi.
Vous devriez envisager l'utilisation de SSH ou VPN entre votre production et de sauvegarde réseau.
Soit quelqu'un qui a accès à votre machine, ou quelqu'un qui a un accès partiel à un nœud entre votre ordinateur et l'ordinateur de sauvegarde. Le risque dépend de la valeur commerciale de vos données, mais sur une matrice des risques, ce serait considéré comme une >10 car vous envoyer de la plaine de données sur un réseau, vous ne contrôlez pas et vous ne pouvez pas faire confiance.
OriginalL'auteur fyr
vous pouvez également utiliser la fonction "hosts allow = xxx.xxx.xxx.xxx" dans le rsyncd.con module. Après, même si l'attaquant obtient des mains de l'utilisateur/mot de passe d'autoriser uniquement la connexion de l'hôte donné.
OriginalL'auteur adam